2021-09-24 14:46 (금)
이경호 교수 “정보보호, 현장중심 전문가에 의한 의사결정체계 필요해”
상태바
이경호 교수 “정보보호, 현장중심 전문가에 의한 의사결정체계 필요해”
  • 길민권
  • 승인 2015.09.16 15:29
이 기사를 공유합니다

김승주 교수 “해커들 어떻게 활용할 것인가 고민해야”
코리아 베스트 오브 더 베스트 시큐리티 포럼(K-BoB Security Forum)은 9월 15일 오전 7시 30분 서울 더팔래스호텔 서울에서 정계, 학계, 산업계, 연구계, 보안전문가 등 다양한 분야에서 활동 중인 포럼 이사진 및 회원사와 정보보호분야 전문가들이 참석한 가운데 ‘사이버 역량 강화 및 대국민 신뢰 회복’이라는 주제로 조찬 좌담회를 개최했다고 밝혔다.
 
K-BOB 시큐리티 포럼 이사장이자 행사를 주관한 유준상 원장은 환영사에서 2015년 데프콘 CFT 23 한국팀 우승을 언급하면서 그 동안 다양한 분야의 다양한 사람들의 적극적인 지원과 성원에 감사한다고 전하고, 국회 정책자문기관으로서의 포럼 역할에 대해 강조했다.
 
이어 좌장을 맡은 임종인 안보특보는 이탈리라 해킹팀 사건 등 최근 정보보호에 집중되고 있는 상황에서 개최된 조찬 좌담회에서 정부에서도 관심을 높이고 있는 정보보호 분야에 대한 귀중한 의견을 바란다고 밝혔다.
 
고려대학교 이경호 교수는 주제발표를 통해 국내에서 일어난 각종 보안사고 사례를 언급하고 급증하고 있는 사이버위협과 정보보호 예산에 대해 설명했다. 특히 카드사 해킹으로 발생한 개인정보 유출사건에서 정보보호 예산이 전체 IT 예산의 8% 이하를 유지하는 카드사 중심으로 피해를 당했다는 점을 말하고 국가 정보보호 예산 현황을 비교해(정부 정보보호예산은 정보화 예산의 약 8%) 설명해 눈길을 끌었다.
 
이후 외국의 사이버 대응 동향 살펴보면서, 미국의 경우 CIA가 관리하는 IQT에서 투자하여 시장의 기업을 성장하고 이를 다시 국가의 전력으로 활용하는 선순환 구조를 가지고 있음을 이야기 했고, 중국의 경우 자체 OS를 개발하고 민간주도로 이루어지고 있음을 영국과 러시아, 프랑스, 인도, 이스라엘 등 많은 나라에서 정보보호 투자와 인력양성을 확대하고 있음을 밝혔다.
 
마지막으로 우리는 알려지지 않는 공격을 어떻게 탐지하고 방어하는지가 핵심임이나 실제로는 알려진 공격에 대한 투자(기존 장비 증설 등)가 대부분임을 언급하면서 향후 정보보호역량강화를 위해 △분석과 공유가 법제도를 기반으로 활성화 △현장중심에서 전문가에 의한 의사결정체계 필요 △위험에 따른 차등화된 추진체계 필요 등을 밝히며 주제 발표를 마쳤다.
 
첫 토론자로 나선 박춘식 한국정보보호학회 회장은 정보보호예산을 논할 때 IT에 대비해 평가하는 문제가 있음을 지적하고 이를 벗어날 필요가 있음을 이야기했다. 현재 구조적으로 IT 예산은 줄어들고 있고 전체 예산의 90% 가량이 현재 정보화를 유지하는데 들어가는 상황에서 IT 예산을 논하는 것보다 정보화 예산과 정보보호 예산을 분리해서 생각하는 구조가 필요하다고 강조했다.
 
류재철 교수는 이탈리아 보안업체 ‘해킹팀’의 유출자료를 분석한 결과를 이야기 하면서, 우리가 알지 못했던 제로데이 취약점보다는 기존 알려진 기술을 통해 해킹툴이 제작되었다는 점과 자체 제작보다는 구매한 기술을 활용한 부분이 많았다는 점을 지적하고 이는 해킹툴을 제작할 수 있는 생태계가 이미 이루어져 있다는 것을 언급하였다. 이는 곧 이런 생태계와 기존 기술을 활용해 국가가 대상이 아닌 민간이나 범죄자 집단에 해킹툴을 제공할 수 있는 상황이 만들어져 있음을 이야기 하고 이를 통해 향후 더 많은 위협이 발생할 수 있다고 지적했다. 그리고 이를 대응하는 우리 보안 인력들은 사건이 발생했을 때 차분하게 내부적인 해결방법을 모색하기 전 외부의 많은 압박을 받을 수밖에 없는 현 상황을 이야기하고 공격에 대한 예방이 점점 어려워지는 시점에서 차분한 대응을 가능케 하는 문화조성이 필요함을 강조했다.
 
이어 발언한 고려대학교 권헌영 교수는 기술적인 역량강화 방안과는 다른 거시적인 관점으로 국민적인 신뢰성을 높이는 방안에 대해 논의할 필요성을 언급했다. 해킹에 대한 대응 역량이 부족한 이유는 전문적인 기술 뿐 아니라 국민 개개인의 정보보호 역량이 부족한 역량의 비대칭에 문제가 있다고 이야기 하면서 일련의 사건과 국민들의 정보 부족이 신뢰성을 해치고 있다고 지적했다.이를 대응하기 위해서는 국민 개개인의 정보보호 역량을 강화해 역량의 비대칭을 해소하고 발생된 문제에 정치적인 독립성을 지닌 시장에 맡겨 투명하게 검증하고 공개하는 형태로 나아갈 필요가 있다고 강조했으며 이를 위해서는 법제도 정비를 추진할 필요가 있다고 이야기 했다.
 
이에 대해 좌장을 맡은 청와대 임종인 안보특보는 추진되고 있는 법안이 통과되고 있지 않은 이유가 신뢰성의 문제임을 다시 강조하고 향후 법안 추진과 신뢰성을 확보하기 위해 포럼이 역할을 할 필요가 있다고 이야기했다.
 
고려대학교 김승주 교수는 보안 서비스에 대해 이제 ‘시큐리티’가 아닌 ‘Information Assurance’ 패러다임으로 변화하는 추세임을 언급하면서 실시간 정보수집 과정에서 발생하는 문제에 대한 원인파악이 중심이 아닌 문제를 해결해 실시간 정보수집을 유지하는 방식으로 정보보호 서비스가 나아가야 함을 강조했다. 그리고 보안 제품부문은 향후 제품 자동화가 이슈 될 것이라 이야기 하면서 이런 분야에 대한 기술개발이 필요함을 이야기 했다. 인력양성 부문에 대해서는 해커들을 양성하기 위해 노력하고 있는 상황에서 해커들을 어떻게 활용할 것인가를 고민해야 한다고 이야기 하고, 미국의 경우는 해커들을 위한 R&D 개발체계, 연구 인프라 제공 등 해커들을 위한 지원을 고민하고 있다고 강조하고 우리나라도 이런 고민을 시작해야 한다고 이야기 했다.
 
블랙펄시큐리티 심준보 기술이사는 지금까지 해킹방식을 생각했을 땐 보안제품을 향한 기술적인 공격보다 내부의 사람을 대상으로 공격을 행하는 것을 염두에 두어 두고 있었으나, 최근 공개된 정보에서 볼 때 현재 출시된 보안제품을 대상으로 충분히 기술적인 공격이 가능함을 언급했다. 이런 현상을 언급하는 이유는 보안기술의 역량강화나 신뢰성 확보가 어려운 이유가 각자 자신이 지닌 기술과 정보를 공개하지 않기 때문이라고 꼬집으며, 구글의 사례를 들어 정보 공개를 통해 상호발전과 소통, 보안성 강화가 이루어질 수 있을 것이라 이야기했다.
 
주제발표의 이경호 교수는 여러 참석자의 의견을 듣고 기술적인 면 뿐 아니라 법 제도적와 절차적인 과정에서 투명성과 소통이 이루어져 국민의 신뢰를 얻을 수 있는 모습이 되길 바란다고 의견을 밝혔다.
 
지정된 토론자의 발언 이후 발언한 숭실대학교 정수환 교수는 외국의 민간주도 사업에 비해 우리나라는 정부주도의 사업이 많다는 점을 언급하면서 이는 문화의 차이라 이야기했다. 그리고 우리나라와 같은 환경에서 역량을 최대한 끌어내기 위해서는 오픈된 플랫폼을 통해 정보를 공유할 필요가 있다고 강조하면서 오픈 플랫폼을 마련하는 것이 정부의 역할이 될 것이라 이야기 했다.
 
지식정보보안산업협회 심종헌 회장은 정보보호 시장이 확대되지 못하는 점에서 정보보호투자를 이끌어 낼 수 있는 유인기술의 부족을 하나의 이유로 꼽았다. 국내 정보보호 기업들이 변화된 IoT 융복합 시대에 요구되는 정보보호 기술 부족하다고 언급하고 이는 경쟁상대가 되는 외국계 기업들과의 자본력과 규모의 차이로 발생한다고 이야기 했다. 이에 기업의 연합과 합병을 통한 규모의 성장을 유도할 수 있는 유인책과 정보보호 시장에 관심을 느낄 수 있도록 규제완화를 정부의 역할로 언급했다.
 
지식정보보안산업협회 오경수 명예회장은 정보보호산업진흥법 통과에 고생한 유준상 원장, 임종인 안보특보, 박춘식 회장, 심종헌 회장의 노고를 먼저 이야기 하고, 본인의 경험에 비추어 보안 관련 전문가가 모여 회사를 설립했지만, 결국 수익이 부족했다고 회고했다. 그리고 지금까지 정보보안분야가 돈이 안된다는 분위기가 계속 지속되고 있다고 언급하고 이런 분위기로 국내 제품과 서비스가 약해지고 있다고 강조했다. 이에 보안사업을 이끄는 수입의 원천이 무엇인지를 생각하고 규모의 경제를 통해 경제적인 효과를 가져올 수 있는 선순환 효과를 만들 방법을 각계 전문가들이 모여 고민할 것을 주문했다.
 
포럼 공동대표인 김대인 윈스 대표는 정보보호 분야의 기업을 경영하면서 가장 어려운 점이 우수한 인력을 확보하여 유지하고 발전시키는 것이라고 이야기하며, 기업에게 가장 중요한 것이 바로 이점이라는 것을 다시 한 번 강조했다.
 
그레이해쉬 이승진 대표는 사이버 안보분야가 강조되면서 사이버 보안인력을 양성코자하는데 국내 정책 추진자들의 부족한 적극성과 마인드를 미국의 사례를 통해 우리 정부기관에서도 좀 더 적극적인 인력확보에 대한 노력이 필요하다고 강조했다. 그는 미국의 경우 NSA, 사이버 사령부의 수장이 직접 적극적으로 활동하면서 해커를 섭외하기 위해 많은 노력을 기울였다는 점을 언급했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com